Я наблюдаю смешанные результаты с Applocker, и я надеюсь, что коллективная мудрость здесь поможет мне исправить.
У меня есть исполняемый файл badcommand.exe
что я хочу запретить всем запускаться. Я создаю политику блокировки приложений с SID для всех, чтобы запретить выполнение. Если я выполняю команду через консоль, блокировщик приложений предотвращает выполнение. Но если я выполню команду, используя sqlsrvr.exe
и xp_cmdshell
, команда будет успешно выполнена под виртуальной или локальной учетной записью, которой принадлежит sqlsrvr.exe
.
Мой вопрос: почему блокировщик приложений запрещает выполнение из консоли, но не из службы?
Пример политики для отказа - cmd.exe:
<FilePublisherRule Id="XXX-" Name="deny CMD.EXE" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MICROSOFT® WINDOWS® OPERATING SYSTEM" BinaryName="CMD.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>